Мониторинг активности базы данных
Мониторинг активности базы данных (DAM), это технология безопасности базы данных для мониторинга и анализа активности, которая работает независимо от системы управления базами данных (СУБД) и не зависит от какой-либо формы внутреннего (СУБД-резидентного) аудита или собственных журналов, таких как трассировка или Журналы транзакций. DAM обычно выполняется непрерывно и в режиме реального времени.
Мониторинг и профилактика активности базы данных (DAMP) является расширением DAM, которое выходит за рамки мониторинга и предупреждения, чтобы также блокировать несанкционированные действия.
DAM помогает предприятиям выполнять требования регулирующих органов, таких как, правительственные постановления правительства США, а также правила ЕС.
DAM также является важной технологией защиты конфиденциальных баз данных от внешних атак киберпреступников. Согласно отчёту «Исследование нарушений данных Verizon Business» за 2009 год, основанному на данных, проанализированных на основе Verizon Business, из 90 подтверждённых нарушений с участием 285 миллионов скомпрометированных записей в течение 2008-75 процентов всех записей приходилось на взломанные серверы баз данных.
DAM обеспечивает привилегированный мониторинг доступа пользователей и приложений, который не зависит от собственных функций ведения журнала и аудита. Он может функционировать как компенсационный контроль для привилегированных проблем разделения пользователей, контролируя активность администратора. Эта технология также улучшает безопасность базы данных, обнаруживая необычную активность чтения и обновления с уровня приложения. Агрегирование, корреляция и отчётность обеспечивают возможность аудита базы данных без необходимости включать собственные функции(которые становятся ресурсоёмкими по мере увеличения уровня аудита).
Согласно опросу независимой группы пользователей Oracle (IOUG), «у большинства организаций нет механизмов для предотвращения использования администраторами баз данных и другими пользователями привилегированных баз данных конфиденциальной информации в финансовых, кадровых или других бизнес-приложениях. Большинство из них по-прежнему неспособны даже обнаружить такие нарушения или инциденты ».
Основные варианты использования DAM
[править | править код]Привилегированный мониторинг пользователей: мониторинг привилегированных пользователей(или суперпользователей), таких как администраторы баз данных, системные администраторы, разработчики, справочные службы и внешний персонал, которые обычно имеют неограниченный доступ к корпоративным базам данных, необходимы для защиты от внешних и внутренних угроз. Привилегированный мониторинг пользователей включает аудит всех видов деятельности и транзакций, выявление аномальных действий (например, просмотр конфиденциальных данных или создание новых учётных записей с привилегиями суперпользователя), а также согласование наблюдаемых действий (например, добавление или удаление таблиц) с разрешёнными запросами на изменение.
Поскольку большинство организаций уже защищены на общем уровне, действительно, основная проблема заключается в необходимости мониторинга и защиты от привилегированных пользователей. Таким образом, существует высокая корреляция между безопасностью баз данных и необходимостью защиты от угрозы инсайдера. Это сложная задача, так как большинство привилегированных пользователей могут использовать сложные методы для атаки на базы данных - хранимые процедуры, триггеры, представления и обфускации трафика - атаки, которые могут быть трудно обнаружить с использованием традиционных методов.
Кроме того, поскольку целенаправленные атаки часто приводят к тому, что злоумышленники получают привилегированные учётные данные пользователя, мониторинг привилегированных действий также является эффективным способом выявления уязвимых систем.
В результате аудиторы теперь требуют мониторинга привилегированных пользователей для наилучшей практики безопасности. Привилегированный мониторинг пользователей помогает сохранять:
- Конфиденциальность данных, так что только авторизованные приложения и пользователи просматривают конфиденциальные данные.
- Управление данными, так что критические структуры и ценности базы данных не изменяются вне процедур корпоративного управления изменениями.
Мониторинг активности приложений. Основной целью мониторинга активности приложений является обеспечение более высокого уровня подотчетности конечного пользователя и обнаружение мошенничества (и других злоупотреблений законным доступом), которое происходит через корпоративные приложения, а не через прямой доступ к базе данных.
Многоуровневые корпоративные приложения, такие как Oracle EBS, PeopleSoft, JD Edwards, SAP, Siebel Systems, Business Intelligence и пользовательские приложения, построенные на стандартных серверах среднего уровня, таких как IBM WebSphere и Oracle WebLogic Server, маскируют личность конечных пользователей на Уровень транзакции базы данных. Это делается с помощью механизма оптимизации, известного как «объединение пулов». Используя объединённые соединения, приложение суммирует весь пользовательский трафик в нескольких соединениях с базой данных, которые идентифицируются только общим именем учётной записи службы. Мониторинг активности приложений позволяет организациям связывать конкретные транзакции базы данных с конкретными конечными пользователями приложений, чтобы идентифицировать несанкционированные или подозрительные действия.
Защита от кибер атак: Внедрение SQL-кода - это тип атаки, для использования некачественных методов кодирования в приложениях, использующих реляционные базы данных. Злоумышленник использует приложение для отправки инструкции SQL, которая состоит из заявления приложения, объединённого с дополнительным заявлением, которое вводит злоумышленник.
Многие разработчики приложений составляют инструкции SQL путём объединения строк и не используют подготовленный оператор. В этом случае приложение восприимчиво к атаке. Эта технология преобразует инструкцию приложения из вызова SQL во вредоносный, который может привести к несанкционированному доступу, удалению данных или краже информации.
Один из способов, которым DAM может предотвратить внедрение SQL, - это создание базовой линии «нормального поведения» и определение атаки на основе расхождения с нормальными структурами SQL и последовательностями. Альтернативные подходы контролируют память базы данных, где отображаются как план выполнения базы данных, так и контекст операторов SQL, и может обеспечить защиту на уровне объекта.
Основные характеристики DAM
[править | править код]Инструменты DAM используют несколько механизмов сбора данных (таких как серверное программное обеспечение агента и встроенные или вне полосные сетевые коллекторы), агрегируют данные в центральном месте для анализа и сообщают на основе поведения, которое нарушает политику безопасности или указывают на поведенческие аномалии. Требование DAM обусловлено, прежде всего, необходимостью мониторинга привилегированного пользователя для проверки соответствия требованиям управления угрозами для мониторинга доступа к базе данных. Требования к корпоративной DAM начинают расширятся, что выходит за рамки основных функций, таких как возможность обнаружения вредоносной активности или недопустимого или неутвержденного доступа к базе данных (DBA).
Более продвинутые DAM включают:
- Возможность отслеживать атаки внутри базы данных и предотвращать их в реальном времени (например, хранимые процедуры, триггеры, представления и т.д.)
- Решения, которые не зависят от большинства ИТ-инфраструктурных переменных, таких как шифрование или топология сети
- Блокировка и предотвращение, не входя в транзакции
- Активное обнаружение данных, подверженных риску
- Улучшенная видимость трафика приложений
- Возможность предлагать мониторинг активности базы данных в виртуализированных средах или даже в облаке, где нет чётко определённой или согласованной топологии сети
Некоторые DAM также включают другие функции, в том числе:
- DLP-возможности, которые учитывают проблемы безопасности, а также требования к идентификации и защите данных в индустрии платёжных карт (PCI) и другие ориентированные на данные нормативные рамки
- Отчётность по аттестации прав пользователей базы данных, требуемая широким диапазоном правил
- Лучшая интеграция с продуктами сканирования уязвимых мест
Типы архитектуры DAM
[править | править код]На основе перехвата: большинство современных систем DAM собирают то, что делает база данных, имея возможность «видеть» связь между клиентом базы данных и сервером базы данных. Системы DAM могут просматривать поток связи и получать запросы и ответы, не требуя участия в базе данных. Сам перехват может выполняться в нескольких точках, таких как база данных (например, SGA), в сети (с использованием сетевого TAP или порта SPAN, если связь не зашифрована), на уровне операционной системы или на уровне Библиотек баз данных.
Если есть незашифрованный сетевой трафик, можно использовать перехват пакетов. Преимущество заключается в том, что обработка не выполняется на хосте, однако основным недостатком является то, что как локальный трафик, так и сложные атаки внутри базы данных не будут обнаружены. Для захвата локального доступа некоторые сетевые поставщики развёртывают пробник, который запускается на хосте. Этот пробник перехватывает весь локальный доступ и также может перехватывать весь сетевой доступ в случае, если вы не хотите использовать сетевое устройство или в случае шифрования сообщений в базе данных. Однако, поскольку агент не выполняет всю обработку - вместо этого он передаёт данные в устройство DAM, где происходит вся обработка - это может повлиять на производительность сети со всем локальным трафиком, а скорость может быть слишком медленной для прерывания несанкционированных запросов.
На основе памяти: в некоторых системах DAM имеется лёгкий датчик, который подключается к защищённым базам данных и непрерывно обследует глобальную область системы (SGA) для сбора SQL-заявлений по мере их выполнения. Подобная архитектура ранее использовалась продуктами оптимизации производительности, которые также использовали SGA и другие общие структуры данных.
В последних версиях этой технологии лёгкий датчик работает на хосте и подключается к процессу на уровне ОС для проверки частных структур данных. Преимущества этого подхода значительны:
- Полный охват всех транзакций базы данных - датчик охватывает трафик, поступающий из сети: хранимые процедуры, триггеры, представления
- Решение, не зависящее от большинства переменных ИТ-инфраструктуры, - не нужно перестраивать архитектуру сети, открывать SPAN порты или беспокоиться о управлении ключами, если сеть зашифрована, и эта модель также может использоваться для защиты баз данных, развёрнутых в виртуализированных средах или в облаке
На основе анализа журнала: Некоторые системы DAM анализируют и извлекают информацию из журналов транзакций (например, журналы повтора). Эти системы используют тот факт, что большая часть данных хранится в журналах повтора, и они очищают эти журналы. К сожалению, не вся информация, которая требуется, находится в журналах повтора. Например, операторы SELECT не являются, и поэтому эти системы будут дополнять данные, которые они собирают из журналов повтора, с данными, которые они собирают из собственных контрольных маршрутов. Эти системы являются гибридом между реальной системой DAM (что Полностью независим от СУБД) и SIEM, который опирается на данные, сгенерированные базой данных. Эти архитектуры обычно подразумевают дополнительные накладные расходы на сервере базы данных.
На эту статью не ссылаются другие статьи Википедии. |